Analiz a viral a dinamic a pentru programele [625558]

Analiz a viral a dinamic a pentru programele
antivirus – studiu de caz
Muntean Paula
Universitatea de Vest Timisoara, Romania
Abstract. ^In aceast a lucrare vom analiza tehnica dinamic a a programelor
antivirus. Analiza dinamic a se bazeaz a pe comportament s ,i implic a anal-
ize^ n timp ce ruleaz a codul^ ntr-un mediu controlat. Intent ,ia de a^ nt ,elege
cum funct ,ioneaz a aceasta s ,i de utilizare a acestuia este pentru a opri
r asp^ andirea virusurilor s ,i pentru a proteja calculatoarele s ,i dispozitivele
electronice de programele d aun atoare. Analiza dinamic a efectueaz a o
analiz a mai detaliat a a act ,iunilor s ,i a funct ,ionalit at ,ilor, analiz^ and ecare
faz a a funct ,ionalit at ,ii sale. Analiza dinamic a este complex a, ind capa-
bil a s a scaneze milioane de s ,iere, iar scanarea este foarte rapid a. Analiza
dinamic a nu se bazeaz a pe semn aturi, ci pe o abordare bazat a pe com-
portament, pentru determinarea funct ionalit at ii.
Keywords: analiz a malit ioas a
analiz a dinamic a
1 Introducere
Software-ul r au intent ,ionat sau programele d aun atoare sunt programe nocive,
concepute pentru a d auna calculatoarelor sau ret ,elelor de calculatoare. Atacurile
malit ,ioase au devenit o amenint ,are major a pentru lume. Aceasta este o preocu-
pare major a ^ n spat ,iul pentru consumatori, deoarece hackerii ^ ncearc a s a obt ,in a
personal informat ,iile utilizatorilor, le fur a identit at ,ile pentru a face bani s ,i le
folosesc pentru activit at ,i nefaste.
Analiza programelor d aun atoare este de cea mai mare important , a, deoarece
ajut a la ^ nt ,elegerea infect ,iilor cu virus ,i s,i la ^ mpiedicarea r asp^ andirii acestora ^ n
alte sisteme, s ,iere, directoare etc.
^In ziua de azi a virusurilor s ,i a amenint , arilor cibernetice, a devenit esent ,ial s a
se dezvolte tehnici care detecteaz a rapid aceste atacuri. Acest lucru este foarte
important pentru companii s ,i consumatori. ^In aceast a lucrare analiz am tehnica
dinamic a de detectare a virusurilor s ,i cum se realizeaz a aceast a analiz a dinamic a
de detectare s ,i ce reprezint a aceasta.
Analiza dinamic a, spre deosebire de analiza static a, implic a analize ^ n timp
ce ruleaz a codul ^ ntr-un mediu controlat. Programul malit ,ios este rulat ^ ntr-un
mediu virtual ^ nchis, izolat s ,i apoi studiat comportamentul acestuia. Intent ,ia
este de a ^ nt ,elege funct ,ionarea s ,i comportamentul acesteia s ,i de a folosi aceste
cunos ,tint ,e pentru a opri r asp^ andirea sau pentru a ^ nl atura infect ,ia. [1]

2 Muntean Paula
Debuggerii sunt folosit ,i, ^ n analiza avansat a dinamic a, pentru a determina
funct ,ionalitatea execut arii malit ,ioase. Analiza dinamic a, spre deosebire de anal-
iza static a, se bazeaz a pe comportament s ,i, prin urmare, analis ,tii nu vor lipsi
din comportamentele importante ale oric arei tulpini malit ,ioase[10].
Diferent ,ele de baz a dintre cele dou a tipuri de analiz a, static a s ,i dinamic a
pentru programele antivirus sunt[2]:
^ n timp ce analiza static a se bazeaz a pe semn aturi, analiza dinamic a se
bazeaz a pe comportament
^ n timp ce codul nu este executat ^ n timpul analizei statice, codul malit ,ios
este rulat ^ ntr-un mediu de tip sandbox
analiza static a este destul de simpl a s ,i observ a doar comportamentul malit ,ios
s,i ^ ncearc a s a analizeze capabilit at ,ile acestuia, iar analiza dinamic a efectueaz a o
analiz a mai detaliat a a act ,iunilor, a funct ,ionalit at ,ilor s ,i a impactului malit ,ios,
analistul studiind-o la ecare faz a a implement arii s ,i funct ,ion arii sale
^ n timp ce analiza static a funct ,ioneaz a pentru malware-ul comun, analiza
dinamic a, bazat a pe comportament, este necesar a pentru tipul de malware mai
sosticat s ,i mai avansat
2 Tehnici dinamice pentru programele antivirus
2.1 Analiza dinamic a
Analiza dinamic a sau comportamental a se realizeaz a prin observarea comporta-
mentului malit ,ios ^ n timp ce acesta ruleaz a efectiv pe un sistem gazd a. Aceast a
form a de analiz a este adesea efectuat a pentru a preveni virusul s a infecteze efec-
tiv sistemele de product ,ie. De asemenea, virusul poate  depanat^ n timpul rul arii
utiliz^ and un depanator, precum GDB sau WinDbg, pentru a urm ari comporta-
mentul s ,i efectele asupra sistemului gazd a a programului malware, pas cu pas, ^ n
timp ce instruct ,iunile sale sunt procesate. Virusul modern poate prezenta o mare
varietate de tehnici evazive, concepute pentru a ^ nvinge analiza dinamic a, inclu-
siv testarea pentru medii virtuale sau depanatoare active, ^ nt^ arzierea execut ,iei
^ nc arc arilor utile d aun atoare sau care necesit a o form a de intrare interactiv a a
utilizatorului .[12]
Analiza dinamic a este o chestie complex a, ind capabil a s a scaneze mil-
ioane de s ,iere, rul^ andu-le pe un emulator s ,i vericarea tuturor semn aturilor.
De asemenea, are limit ari.
Modelul de analiz a dinamic a are 3 limite principale care pot  exploatate:
Scan arile trebuie s a e foarte rapide, astfel ^ nc^ at s a existe o limit a a
num arului de operat ,ii pe care le poate executa pentru ecare scanare
Mediul este emulat astfel ^ nc^ at nu cons ,tientizeaz a specicul mas ,inii
Mediul emulat / sandbox are o anumit a specicitate care poate  detectat a
de virus

Analiz a viral a dinamic a pentru programele antivirus – studiu de caz 3
Analiza dinamic a se realizeaz a prin extragerea marcajelor de nas ,tere ale
software-ului dinamic. Marcajele de nas ,tere dinamice, cum ar  Application Pro-
gram Interface (API) obt ,inute ^ n timpul rul arii, nu pot  ^ nfr^ anate at^ at de us ,or
s,i, prin urmare, o semn atur a puternic a a unei anumite familii de virus ,i pentru
detectare. Semnele de nas ,tere dinamice sunt rezistente la obuscularea codului ^ n
comparat ,ie cu reperele de nas ,tere statice.
Dezavantajele analizei dinamice sunt c a:
este mai scump
poate  potent ,ial d aun ator, deoarece implic a executarea malit ,ioas a
este mai lent comparativ cu analiza static a
Probleme de analiz a dinamic a[11]:
^ n general, se examineaz a o singur a cale
mediu de analiz a, probabil, nu este invizibil
mediul de analiz a posibil nu este cuprinz ator
probleme de scalabilitate
Analiza dinamic a este un proces mai detaliat de detectare s ,i analiz a a virusu-
lui efectuat ^ ntr-un mediu controlat s ,i ^ ntregul proces este monitorizat pentru a
observa comportamentul acestuia.[7]
Analiza dinamic a a virusului, pe de alt a parte, implic a o analiz a minut ,ioas a
folosind comportamentul s ,i act ,iunile es ,antionului malit ,ios ^ n timpul execut arii
pentru a ^ nt ,elege mai bine acest es ,antion. Sistemul este congurat ^ ntr-un mediu
^ nchis s ,i izolat, cu monitorizare adecvat a.[6]
Analiza dinamic a implic a analiza comportamentului programelor d aun atoare,
astfel ^ nc^ at acesta s a nu afecteze alte sisteme.[8]
^In loc de o abordare bazat a pe semn aturi, o analiz a dinamic a utilizeaz a o
abordare bazat a pe comportament pentru a determina funct ,ionalitatea virusu-
lui, prin studierea act ,iunilor efectuate de programul d aun ator dat.[9]
Analizarea unui s ,ier suspect prin metode de analiz a dinamic a poate furniza
informat ,ii relevante s ,i valoroase cu privire la impactul unui s ,ier asupra sistemu-
lui de g azduire s ,i poate ajuta la determinarea dac a s ,ierul este r auvoitor sau nu,
pe baza regulilor predenite ale metodei.
Analiza dinamic a este robust a la aceste tehnici s ,i poate oferi o mai bun a
^ nt ,elegere cu privire la s ,ierul analizat s ,i, ^ n consecint , a, poate duce la capacit at ,i
de detectare mai bune. Des ,i analiza dinamic a este mai robust a dec^ at analiza
static a, instrumentele s ,i tehnicile de analiz a dinamic a existente sunt imperfecte
s,i nu exist a un instrument unic care s a poat a acoperi toate aspectele comporta-

4 Muntean Paula
mentului malit ,ios.
Analiza dinamic a se bazeaz a pe ideea c a putet ,i executa codul s ,i urm ari efec-
tiv ce face s ,i cum afecteaz a sistemul de g azduire.
Analiza dinamic a se refer a la procesul de analiz a a unui cod sau script prin
executarea acestuia s ,i respectarea act ,iunilor sale. Aceste act ,iuni pot  observate
la diferite niveluri, de la cel mai mic nivel posibil (codul binar ^ n sine) la sistemul
^ n ansamblu (de exemplu, modic ari aduse registrului sau sistemului de s ,iere).
Obiectivul analizei dinamice este de a expune activitatea d aun atoare efectuat a
de executabil ^ n timpul rul arii sale, f ar a a compromite securitatea platformei de
analiz a. Din punct de vedere defensiv, exist a riscul de a  infectat de virus ,i ^ n
timp ce ^ l analizeaz a dinamic, deoarece necesit a ^ nc arcarea malit ,ioas a ^ n memo-
ria RAM.
Analiza dinamic a este un domeniu larg  si nu se bazeaz a pe analiza codului
binar ^ n sine s ,i caut a modele sau semn aturi semnicative care implic a r autate ale
s,ierului analizat. O astfel de abordare static a este vulnerabil a la multe tehnici
de evaziune. ^In plus, analiza dinamic a nu traduce codul binar ^ n cod de nivel de
asamblare. ^In timp ce un proces de dezasamblare poate p area simplu, exist a mai
multe tehnici pe care atacatorii le folosesc pentru a p ac ali programul de deza-
samblare s ,i ^ l determin a s a produc a un cod de asamblare diferit de cel care este
^ n realitate executat. Prin evitarea procesului de dezasamblare s ,i nu se bazeaz a
pe codul binar al s ,ierului analizat ^ n sine, analiza dinamic a este imun a la ast-
fel de tehnici de evaziune d aun atoare. Analiza dinamic a este imun a la acest efect.
Vom rezuma caracteristicile necesare ale oric arui proces de analiz a a virus ,ilor
pentru a reduce riscul de infect ,ie s ,i a produce rezultate precise:
Trebuie s a e de ^ ncredere: datele furnizate de cadrul de analiz a nu trebuie
s a e compromise de virus
Trebuie s a existe un mecanism defensiv care s a ^ mpiedice virusul s a obt ,in a
controlul asupra sistemului
Acesta trebuie s a e nedetectabil de s ,ierul analizat – Dac a virusul poate
spune c a este ^ n curs de analiz a, atunci s-ar putea s a se termine sau s a execute
numai comenzi non-d aun atoare
Trebuie s a colecteze c^ at mai multe date relevante cu privire la act ,iunile
efectuate de virus – Astfel de informat ,ii pot include apeluri de funct ,ii, parametri,
ret ,ea, modic ari ale sistemului de s ,iere, m asur ari hardware s ,i as ,a mai departe
Trebuie s a ^ ndeplineasc a as ,tept arile virusului pentru a expune compor-
tamentul s au complet – Sistemul relevant trebuie instalat, hardware-ul core-
spunz ator trebuie conectat s ,i aplicat ,ia vulnerabil a trebuie instalat a
Trebuie s a limiteze / s a imite accesul la ret ,ea de c atre virus – Permiterea
conect arii virusului la ret ,elele interne sau internetul trebuie s a e limitat a s ,i

Analiz a viral a dinamic a pentru programele antivirus – studiu de caz 5
are loc doar sub supraveghere pentru a preveni infect ,ia altor dispozitive sau
exltrarea informat ,iilor sensibile
Trebuie s a genereze un raport coerent s ,i concis – informat ,iile din acest ra-
port pot  utilizate pentru a produce decizii cu privire la clasicarea s ,ierului
analizat, e de c atre expert ^ n securitate, e de algoritmul de ^ nv at ,are automat a
Un cadru dinamic de analiz a a virusului este alc atuit din trei componente:
1) Es ,antion malit ,ios – Acesta poate  un cod executabil, un script, un docu-
ment sau un rmware.
2) Hardware s ,i sistem de operare – Software-ul se as ,teapt a s a e executat pe
un anumit sistem de operare sau component a hardware. Dac a cadrul de analiz a
nu corespunde acestor as ,tept ari, atunci virusul nu se va executa.
3) Instrument de analiz a – Un software sau dispozitiv utilizat pentru moni-
torizarea codului s ,i / sau a sistemului analizat. Instrumentul de analiz a ar trebui
s a produc a un raport care s a rezume comportamentul virusului. Utilitatea unui
raport se bazeaz a pe cantitatea de cunos ,tint ,e pe care o ofer a. ^In general, se
prefer a abstractizarea mai mare pentru clasicarea es ,antionului (adic a pentru
a determina dac a este sau nu un virus s ,i care este tipul acestuia). Cu toate
acestea, pentru a ^ nt ,elege pe deplin comportamentul s ,i tehnicile programelor
d aun atoare, este necesar a o abstractizare mai mic a (adic a, pentru a determina
ce p art ,i ale sistemului au fost afectate de virus s ,i cum, ce apeluri de sistem au
fost executate).
2.2 Blocarea comportamentului
Comportamentul blocant execut a programul s ,i ^ l monitorizeaz a ^ ndeaproape
pentru activit at ,i suspicioase. Dac a se ^ nt^ alnes ,te o activitate suspect a, blocantul
comportamentului va opri programul. Spre deosebire de tehnicile de detectare
pe baz a static a, detect ,ia bazat a pe tehnica dinamic a trebuie s a ia ^ n considerare
numai instruct ,iunile care au fost executate. Comportamentul blocant prot a de
acest fapt s ,i se concentreaz a pe apelurile care sunt obt ,inute atunci c^ and codul
este executat, din moment ce codul mort devine irelevant ca s ,i cum niciodat a nu
va  executat. Blocatorii de comportament folosesc semn aturi dinamice. Dinam-
ica semn aturilor sunt create prin colectarea apelurilor care se obt ,in la executarea
unui malware-ului. Apelurile sunt apoi grupate pe o fereastr a cu dimensiunea k.
Figura 1 d a un exemplu de semn atur a dinamic a de lungime K= 3.[3]
2.3 Emulatoare
Spre deosebire de cazul blocant ,ilor de comportament, emulatorii nu ruleaz a
programele malit ,ioase direct ^ n sistem, ^ n schimb ^ l ruleaz a ^ ntr-un emulator,
care este un mediu virtual sigur. Emulatorii folosesc euristicile dinamice care
colecteaz a informat ,ii despre programele malit ,ioase care sunt executate ^ ntr-un
mediu emulat. Informat ,iile colectate de euristic a dinamic a pot include solicit arile

6 Muntean Paula
Fig. 1. Semnatur a dinamic a [3]
adresate sistemul de operare de c atre virus ,i care formeaz a semn aturi dinam-
ice. Datorit a faptului c a euristicile dinamice monitorizeaz a ^ ndeaproape sistemul
de operare, acestea au un avantaj semnicativ fat , a de euristicile statice ^ n de-
tectarea virusului care vizeaz a operarea de sisteme. Din punct de vedere negativ,
procesul de emulare a procesorului este mult mai lent comparativ cu procesul de
scanare a semn aturilor s ,i, prin urmare, euristica dinamic a este mai lent a dec^ at
euristic a static a. De asemenea, unii virus ,i folosesc trucuri logice s ,i ascund log-
ica infect ,iei sale din emulator efectu^ and infect ,ia numai ^ n condit ,ii specice, care
previne scanerul dinamic pentru detectarea programelor malit ,ioase.[4]
2.4 Pa si de analiz a dinamic a a viru silor
Analiza dinamic a este un proces structurat. Analiza ar trebui s a ^ nceap a cu
eliminarea oric arui ambalaj de ambalare aplicat codului binar pentru a-l ascunde
de instrumentul de analiz a (proces numit dezambalare). Odat a obt ,inut s ,ierul
neambalat, se poate aplica o metod a de analiz a static a pentru a obt ,ine informat ,ii
despre s ,ier. Dac a s ,ierul se potrives ,te cu semn atura unui virus cunoscut, atunci
procesul de analiz a ar putea  omis complet, deci analiza static a este un pas de
baz a care poate reduce necesitatea unei analize ulterioare. Pe baza aspectului de
analiz a selectat pentru sarcin a, trebuie f acut ,i pas ,i suplimentari. Figura 2 prezint a
un rezumat al etapelor necesare pentru ecare aspect al analizei, grupate dup a
funct ,ionalitatea acestora.
3 Efectuarea unei analize dinamice
Pentru a realiza analiza dinamic a, am folosit analizatorul programul COMODO.
Comodo Programs Manager ^ i ajut a pe utilizatori s a elimine ^ n mod cuprinz ator
s,i curat programele, driverele, servicii s ,i componente Windows de la computerele
de acas a s ,i de birou. Dezinstalarea unui program utiliz^ and programele dezinsta-
latoare specice programului vor l asa adesea ^ n urm a multe s ,iere nedorite,

Analiz a viral a dinamic a pentru programele antivirus – studiu de caz 7
Fig. 2. Rezumat al etapelor pentru analiz a[5]
foldere, set ari s ,i chei de registru. Comodo Programs Manager este capabil s a
dezinstaleze o aplicat ,ie ^ mpreun a cu acestea resturi nedorite.
3.1 Consola principal a Comodo
Figura 3 reprezint a consola principal a a programului COMODO. Consola scaneaz a,
^ n primul r^ and, pentru a vedea c^ ate dispozitive g ases ,te disponibile pentru a
scanate. ^In cazul meu, a fost g asit un singur dispozitiv.
Fig. 3. Consola principal a Comodo

8 Muntean Paula
3.2 Modulul de scanare
Modulul care se ocup a cu scanarea device-ului, identic a potent ,ialele s ,iere
malit ,ioase  si le separa ^ n grupe de s ,iere curate, sau potent ,ial infectate sau chiar
infectate. Mii de probe de programe malit ,ioase sporesc zilnic ^ n organizat ,iile
anti-malware. S ,i aceste numere vaste au nevoie de analiz a. Trebuie s a treac a
prin multe instrumente practice de analiz a a programelor malware. Analiza mal-
ware este un domeniu vast. Putem analiza malware ^ n diferite moduri, de exem-
plu, folosind instrumente dinamice de analiz a a programelor malit ,ioase. Figura
4 prezint a rezultatele obt ,inute ^ n urma scan arii complete.
Fig. 4. Modulul de scanare
3.3 Analiza dinamic a a programului Comodo
Analiza comportamentului de rulare a codului este o analiz a dinamic a. Instru-
mentele dinamice de analiz a malit ,ioas a execut a un program ^ ntr-un mediu con-
trolat. Produce un raport care descrie comportamentul programului.
Instrumentele dinamice de analiz a a malware determin a motivul s ,i utilitatea
probelor de malware. Programele malware includ virus ,i, viermi sau spyware. ^In
general, instrumentele dinamice de analiz a malware sunt un proces manual de

Analiz a viral a dinamic a pentru programele antivirus – studiu de caz 9
baz a care necesit a timp. Nu este o analiz a a codului prin malware-ul de inginerie
invers a. O mas ,in a virtual a este un aspect major al instrumentelor de analiz a mal-
ware dinamice.
Instrumentele dinamice de analiz a a programelor malit ,ioase ofer a aspectele
generale ale malware-ului g asite ^ n malware-ul ^ n curs de desf as ,urare. Foloses ,te
un sandbox. Instrumentele dinamice de analiz a malit ,ioas a ofer a condit ,ii foarte
controlate. Sandbox este un caz particular de virtualizare. Sandboxing testeaz a
programe neconrmate care pot cont ,ine diferite coduri r au intent ,ionate. Sandboxing-
ul nu permite software-ului s a d auneze dispozitivului gazd a.
Instrumentele dinamice de analiz a malware implic a executarea unui binar.
Trebuie s a e ^ ntr-un mediu sigur. Instrumentele dinamice de analiz a malware
implic a, de asemenea, respectarea execut ,iei programului. Apoi, produce un ra-
port de analiz a ^ n care este prezentat comportamentul programului. Instru-
mentele dinamice de analiz a malware sunt de asemenea utile. Este util pentru a
executa un binar ambalat ^ n urma dezambal arii acestuia.
Cu toate acestea, exist a pericolul de a utiliza instrumente dinamice de analiz a
malware. Poate d auna ^ ntregului cadru sau poate bloca ret ,eaua total a, astfel
^ nc^ at este necesar s a o abord am. Instrumentele dinamice de analiz a malware
implic a diferite tipuri de tehnici care prezint a calitatea acestuia.
Av^ and ^ n vedere caracteristicile suspecte, binarul trebuie s a se execute pen-
tru un timp mai scurt sau mai lung. Dup a instrumentele dinamice de analiz a
a malware, extragerea este principala preocupare. Organizat ,iile vor s a disting a
mai t^ arziu has ,e necunoscute s ,i s a le planice pentru a se grupa. Prin urmare,
justicarea elimin a cele mai importante aspecte care apar ^ n malware.
Utiliz^ and instrumente dinamice de analiz a a malware, malware intr a ^ ntr-un
mediu controlat. Instrumentele de analiz a malware dinamice ecranizeaz a com-
portamentul s au de rulare. Aceasta ^ nseamn a o analiz a a unui comportament
r au intent ,ionat. Instrumentele de analiz a malware dinamice ^ mpiedic a restrict ,iile
care vin cu analiza static a.
3.4 Dou a modalit at ,i de instrumente dinamice de analiz a malit ioas a
Cele dou a modalit at ,i de instrumente dinamice de analiz a malware sunt urm atoarele:
Abordarea comparativ a
Execut ,ia unui es ,antion malware este pentru un anumit timp. Modic arile efectu-
ate ^ n sistem se compar a cu starea anterioar a a sistemului. Prin urmare, aceast a
metod a ofer a un raport de corelat ,ie care exprim a comportamentul malware.

10 Muntean Paula
Analiza comportamentului runtime
Aici folosim instrumente pentru observarea activit at ,ilor d aun atoare realizate ^ n
timpul rul arii.
Analis ,tii programelor malware au scopul de a oferi informat ,ii. Au efectuat re-
cenzii complete ale celor mai recente instrumente dinamice de analiz a malware.
Acesta demonstreaz a avantajele s ,i dezavantajele instrumentelor dinamice de
analiz a malware.
^In plus, analis ,tii malware au descoperit c^ ateva decient ,e s ,i provoc ari. Exist a,
de asemenea, mai multe r aspunsuri posibile pentru a aborda inadvertent ,ele
prezente. Este important s a ^ nt ,eleget ,i tiparele s ,i calit at ,ile diferitelor compor-
tamente malware. Prin aceasta, analis ,tii malware pot promova ^ mbun at at ,irea
instrumentelor dinamice de analiz a a malware.
3.5 Felurile ^ n care se poate realiza analiza dinamic a
Analiza dinamic a se poate realiza ^ n mai multe feluri cum ar :
Analiz^ and cu Process Monitor
Process Monitor este un instrument avansat de monitorizare pentru Windows
care ofer a o modalitate de a monitoriza anumite activit at ,i de registru, sistem de
s,iere, ret ,ea  si proces. Process Monitor monitorizeaz a toate apelurile de sistem
pe care le poate aduna imediat ce este rulat. ^Intruc^ at exist a ^ ntotdeauna un
num ar foarte mare de apeluri efectuate ^ n sistemul de operare Windows, une-
ori este imposibil s a descoperi evenimente importante. Process Monitor ajut a la
aceast a problem a cu o l a de ltru prin care putem ltra dup a tipul de apeluri.
Analiz^ and cu Process Explorer
Process Explorer este un instrument utilizat pentru efectuarea analizei dinamice
s,i v a poate oferi o perspectiv a excelent a asupra proceselor care se deruleaz a ^ n
prezent ^ n sistem.
Folosind INetSim
INetSim este o suit a gratuit a bazat a pe Linux pentru simularea serviciilor co-
mune de internet. Uneori este dicil s a analizezi un malware f ar a a-l l asa s a
execute complet codul s ,i asta poate implica contactarea lumii externe pentru
serviciile prin http, https, FTP.
INetSIM face exact acest lucru prin emularea serviciilor precum Http, Https,
FTP s ,i permite analistului s a analizat ,i comportamentul malware. Deoarece este
bazat pe Linux, cea mai bun a metod a de a folosi acest lucru este s a ^ l instalat ,i
pe o mas ,in a Linux.
4 Zon a de metodologii
^In urma aplic arii programului Comodo Forensic Analysis Tool, care are la baz a
analiza dinamic a, pe sistemul de operare Windows, au fost sintetizate mai multe
informat ,ii sub forma unor rapoarte de analiz a pentru a ar ata programele curate

Analiz a viral a dinamic a pentru programele antivirus – studiu de caz 11
s,i cele malit ,ioase.
Aceste rapoarte sunt de 3 feluri:
Executive Raport – acest raport este prezentat ^ n gura 5
PreDevice Raport – acest raport este prezentat ^ n gura 6
Preprogram Raport – acest raport este prezentat ^ n gura 7
Fig. 5. Executive Raport

12 Muntean Paula
Fig. 6. PreDevice Raport
Fig. 7. Preprogram Raport

Analiz a viral a dinamic a pentru programele antivirus – studiu de caz 13
5 Concluzii
Cre sterea malit ioas a  si amenint  arile cibernetice au impus necesitatea unui sys-
tem robust  si tehnici de detectare eciente. ^In proiectul acesta, am analizat anal-
iza dinamic a pentru programele antivirus. Tehnica de analiz a dinamic a ofer a un
efect mai ecient pentru modul de detectare a programelor malit ioase. Anal-
iza dinamic a se realizeaz a prin observarea comportamentului malit ios ^ n timp
ce acesta ruleaz a pe un sistem gazd a. Aceast a analiz a este complex a  si este un
process mai detaliat de detectare. Analiza programelor malit ,ioase este de cea
mai mare important , a, deoarece ajut a la ^ nt ,elegerea infect ,iilor cu virus ,i s ,i la
^ mpiedicarea r asp^ andirii acestora ^ n alte sisteme, s ,iere, directoare.
6 Referint e
[1] – Julia Sowells, Static Malware Analysis vs Dynamic Malware Analysis , 2019
[2] – Julia Sowells, Static Malware Analysis vs Dynamic Malware Analysis , 2019
[3] – Swapna Vemparala, Malware Detection Using Dynamic Analysis , 2015
[4] – Swapna Vemparala, Malware Detection Using Dynamic Analysis , 2015
[5] – Markus von Detten, Mathias Meyer, Dietrich Travkin, Reclipse – A Reserve
Engineering Tool Suite , 2010
[6] – Sagar Khillar, Dierence Between Static Malware Analysis and Dynamic
Malware Analysis , 2018
[7] – Sagar Khillar, Dierence Between Static Malware Analysis and Dynamic
Malware Analysis , 2018
[8] – Sagar Khillar, Dierence Between Static Malware Analysis and Dynamic
Malware Analysis , 2018
[9] – Sagar Khillar, Dierence Between Static Malware Analysis and Dynamic
Malware Analysis , 2018
[10] – Sagar Khillar, Dierence Between Static Malware Analysis and Dynamic
Malware Analysis , 2018
[11] – Christopher Kruegel, Dynamic Malware Analysis
[12] – Dilshan Keragala, Detecting Malware and Sandbox Evasion Techniques ,
2016